Fire vigtige pointer fra virksomheder, der arbejder med IoT-sikkerhed

Flere virksomheder oplever, at IoT-sikkerhed spiller en central rolle for deres produkt og forretningsgrundlag. Men de savner også standarder, som de kan læne sig op ad, og de bruger derfor meget tid på dialog med kunden om, hvornår sikkert er sikkert nok. 

Sådan lyder nogle af pointerne fra en ny undersøgelse, hvor Alexandra Instituttet har interviewet 26 danske IoT-virksomheder om, hvordan de forholder sig til de risici, det medfører, når man kobler et produkt til nettet. Det er foregået i regi af CIDI – Cybersecure IoT in Danish Industry, der er et projekt under Industriens Fond, som har til formål at undersøge sikkerheden i danske IoT-produkter.

1. IoT-sikkerhed er blevet et krav
Virksomhederne oplever først og fremmest, at IoT-sikkerhed spiller en central rolle for deres produkt. Salgstalerne om de nye muligheder med IoT falder ganske enkelt til jorden, hvis ikke virksomhederne kan svare på kundens spørgsmål om, hvordan produktet er sikret. For at kunne få lov til at sælge de nye funktioner og produkter, skal de altså have styr på IoT-sikkerheden. 

Virksomhederne ser derfor også en mulighed for positiv brandingværdi i sikkerhed: ’Vi er ikke de eneste, der putter IoT i det her, men kan vinde ved at være foran på IoT-sikkerheden’. Dog fylder den negative brandingværdi mindst lige så meget hos virksomhederne. De nævner gentagne gange frygten for at være dem, der havner på forsiden af Version2 og Ekstra Bladet. De er bange for, at det er deres produkter, der bliver hacket og misbrugt. 

En del af forklaringen bag denne frygt er, at ens virksomhed med IoT bliver en del af en ny værdikæde-tankegang. Den sensor eller det IoT-produkt man leverer kan derfor også blive en bagdør ind til hele kundens system. Og det må bare ikke ske. 

Derfor styrker virksomhederne deres viden om IoT-sikkerhed, men de savner en standard, de kan læne sig opad. IoT er nyt terræn, og der er endnu ikke sket en standardisering på området. Der er ikke noget facit, og det gør, at kunder og leverandører er usikre på, hvad der er godt nok. De fleste bruger derfor meget tid på dialogen med kunden om, hvornår sikkert er sikkert nok. Samtidig er de bevidste om, at de kun har deres egen viden og bedste bud på, hvilke risici de nye muligheder lukker op for, og hvordan de undgås.

2. Ser IoT-sikkerhed som et kritisk forretningsgrundlag
Det bringer os videre til næste type overvejelser: vægtningen af merværdi versus risiko. Der findes en del historier og skrækeksempler på mangelfuld it-sikkerhed og virksomheder, der bliver lagt fuldstændig ned. Hvor mange eksempelvis husker og henviser til hackerangrebet på Mærsk i 2017, så har IoT ikke haft et så opsigtsvækkende sikkerhedsbrud endnu. 

Bristen i IoT-systemet kan ligge steder, man slet ikke havde tænkt på. Fordelen ved at kunne styre tusindvis af enheder i stedet for fx at servicere dem manuelt, skal hele tiden holdes op imod risikoen for, at systemet hackes og udnyttes. 

Man bringer en vis sårbarhed ind i sit produkt, og flere efterspørger læringscases og viden om, hvad der er best practice på området. Jo mere IoT fylder i forretningen, des større risiko er der også for virksomheden. At udnytte forretningspotentialet kræver derfor også, at man har risikostyringen på plads. 

3. Finder det svært at finde en plads til IoT-sikkerhed i organisationen 
Det leder os så videre til, hvor man lige placerer ansvaret for IoT-sikkerhed i produktudviklingen og organiseringen. IoT-sikkerhed er noget andet end klassisk it-sikkerhed, som typisk ligger i it-afdelingen. Som med andre funktioner skal nogen i virksomheden eje IoT-sikkerheden, tage ansvaret og danne sig et overblik over risikoen. 

Der er stor forskel på, hvordan virksomhederne i praksis håndterer og placerer denne opgave. Nogle har stor tiltro til, at deres underleverandører har helt styr på sikkerheden, men flere mangler forudsætningerne for at indgå i en dialog omkring det. 

De kigger naturligt på andre parametre som: ’Hvis de leverer til virksomheder med høje sikkerhedskrav, er det også sikkert nok til os’. Eller de tænker: ’Ja, det er nogle dygtige fyre, der kan deres kram’. For mange bygger IoT-sikkerheden på tillid, og flere har en tro på, at den nødvendige risikovurdering sker andre steder i værdikæden. Derfor mangler flere selv at lave de analyser og sikre sig, at der er taget ansvar for sikkerheden. 

Generelt er der stor forskel på, hvordan virksomhederne sikrer, at de har de nødvendige kompetencer inden for IoT-sikkerhed. Nogle har fået egne kompetencer in-house. Andre har valgt at outsource hele eller dele af udviklingen, mens andre igen sørger for at opgradere deres viden i tilstrækkelig grad til at kunne indgå i dialog med underleverandører og kunder. 

Det viser sig i undersøgelsen, at jo mere modne virksomhederne er i deres tilgang til IoT-sikkerhed, jo mere selvkritiske bliver de også. Jo mere virksomhederne ved, des mere ved de også, hvad de ikke ved – og det gør dem mere skeptiske. 

En procedure, som nogle virksomheder benytter sig af, er interne eller eksterne kodereviews, pen-tests og lignende. Hos de mere modne virksomheder suppleres dette med en organisering, hvor produktets sikkerhed i løbet af udviklingsprocessen skal gennem gates. Sikkerhed er aldrig absolut, og man skal tage stilling til, hvilke risici man kan leve med. Den beslutning skal være forankret hos ledelsen. 

4. Svært at forestille sig, hvordan data kan misbruges 
Flere af virksomhederne er lige gået i gang med at udforske dette nye forretningsområde, som IoT lukker op for. Det kan derfor være svært at forestille sig, hvilke risici der egentlig knytter sig til de data, man opsamler og behandler i IoT-systemet. 

Fakta
Cybersecure IoT in Danish Industry (CIDI) er et projekt for Industriens Fond, hvor Alexandra Instituttet undersøger cybersikkerheden i danske IoT-produkter. I den anledning har vi interviewet 26 danske virksomheder om, hvilken strategi de har for IoT-sikkerhed. 

Svarene er under bearbejdning og samles i en analyse, som munder ud i et redskab til virksomheder, der arbejder med IoT og sikkerhed. Men her løfter vi sløret for fire af vores findings.